wikiATA Security Feature Set
Die ATA Spezifikation bietet mit dem Security Feature Set ein Passwortsystem, mit dessen Hilfe der Zugriff auf Daten von (Serial-)ATA Geräten wie Festplatten oder SSDs eingeschränkt werden. Diese Funktion ist vor allem bei Laptops praktisch. Setzt man im BIOS des Laptops ein User Password, so ist bei jedem Starten des Laptops künftig dieses Passwort einzugeben, bevor die Festplatte oder SSD des Laptops den Zugriff auf die Daten gewährt.
Security Feature Set Passwörter
Das Security Feature Set ist Bestandteil der ATA-Spezifikation.[1] Es sieht zwei Passwörter mit jeweils maximal 32 Byte vor:
- User Password
- Master Password
User Password
Wird ein User Password gesetzt (SECURITY SET PASSWORD), blockiert der Datenträger bei künftigen Neustarts vorerst den Zugriff auf die Daten. Durch erneute Eingabe des User Password wird bei einem Neustart der Zugriff auf die Daten wieder freigeschaltet (SECURITY UNLOCK).
Beim Setzen des User Password wird auch die Master Password Capability gesetzt (siehe unten).
Master Password
Abhängig von der Master Password Capability kann ein zuvor gesetztes Master Password für folgende Zwecke verwendet werden:
- High: das Master Password kann so wie das User Password zum Freischalten des Datenzugriffs (SECURITY UNLOCK) oder zum Deaktivieren des User Password (SECURITY DISABLE PASSWORD) verwendet werden.
- Maximum: das Master Password kann nur zum Löschen des Geräts verwendet werden (SECURITY ERASE UNIT). Das Gerät kann danach wieder genutzt werden. Die gespeicherten Daten sind jedoch verloren.
Security Feature Set Kommandos
Das Security Feature Set stellt die folgenden ATA Kommandos bereit. Diese Kommandos werden auch vom BIOS genützt (z.B. wenn im BIOS Festplattenpasswörter gesetzt werden oder zum Entsperren einer geschützten Festplatte oder SSD beim Bootvorgang):
- SECURITY SET PASSWORD (siehe Draft Kapitel 7.47)
- SECURITY UNLOCK (siehe Draft Kapitel 7.48)
- SECURITY ERASE PREPARE (siehe Draft Kapitel 7.44)
- SECURITY ERASE UNIT (siehe Draft Kapitel 7.45 sowie SSD Secure Erase)
- SECURITY FREEZE LOCK (siehe Draft Kapitel 7.46)
- SECURITY DISABLE PASSWORD (siehe Draft Kapitel 7.43)
SSD Verschlüsselung per User Password
Die folgenden Intel SSDs verschlüsseln alle gespeicherten Daten und können den dazu genutzten Schlüssel wiederum mit einem User Password schützen:
Weitere Informationen dazu siehe:
- Technology Brief: Data security features in the Intel® Solid-State Drive 320 Series
- Intel 320-series SSD and FDE (Full Disk Encryption) questions... (communities.intel.com)
Passwortschutz im Serverumfeld
Für den Einsatz eines User Password muss der jeweilige Storage-Controller (z.B. das BIOS für SATA-Ports, die direkt über den Chipsatz des Mainboards angesteuert werden) in einem Computersystem das Security Feature Set unterstützen.
Im Serverumfeld könnte das User Password genutzt werden, um den Dateninhalt im Falle eines Diebstahls der Datenträger zu schützen. Allerdings möchte man bei Servern nicht bei jedem Neustart das Passwort manuell eingeben. Es müsste daher im BIOS selbst oder im entsprechenden RAID Controller oder HBA hinterlegt sein.
Uns sind bislang keine Storage-Controller bekannt, die derartige Funktionen für das ATA Security Feature Set bieten. LSI bietet für Self-Encrypting Drives (SEDs) die MegaRAID SafeStore Software.[2] Diese SEDs müssen allerdings SAS Laufwerke sein.
Einzelnachweise
- ↑ Draft: ATA/ATAPI Command Set - 2 (ACS-2) - T13/2015-D - Revision 7, June 22, 2011 (t13.org); Anmerkung: T13 Entwürfe (Drafts) sind frei zugänglich, die finalen Standards nur kostenpflichtig erhältlich.
- ↑ MegaRAID SafeStore Software
Weitere Informationen
- Wie ATA-Sicherheitsfunktionen Ihre Daten gefährden (c't 08/2005)
- Hard disk ATA Security (csnc.ch)
- Parallel ATA - HDD passwords and security (en.wikipedia.org)
 |
Autor: Werner Fischer Werner Fischer arbeitet im Product Management Team von Thomas-Krenn. Er evaluiert dabei neueste Technologien und teilt sein Wissen in Fachartikeln, bei Konferenzen und im Thomas-Krenn Wiki. Bereits 2005 - ein Jahr nach seinem Abschluss des Studiums zu Computer- und Mediensicherheit an der FH Hagenberg - heuerte er beim bayerischen Server-Hersteller an. Als Öffi-Fan nutzt er gerne Bus & Bahn und genießt seinen morgendlichen Spaziergang ins Büro.
|
